Обнаружение нового штамма программ-вымогателей DeadLock
Недавно обнаруженный штамм программ-вымогателей, получивший название DeadLock, использует смарт-контракты Polygon для ротации и распределения адресов прокси-серверов с целью проникновения в устройства. Об этом в четверг сообщила кибербезопасная компания Group-IB. DeadLock был впервые идентифицирован в июле 2025 года и до сих пор привлекло мало внимания, так как у него нет публичной партнерской программы и сайта утечек данных, а также оно заразило лишь ограниченное количество жертв, согласно информации компании.
«Хотя этот вредоносный софт имеет низкий профиль и пока не оказывает значительного воздействия, он применяет инновационные методы, которые демонстрируют развивающийся набор навыков. Это может стать опасным, если организации не примут эту возникающую угрозу всерьез,» — заявила Group-IB в своем блоге.
Инновационные методы и аналогии с EtherHiding
Использование DeadLock смарт-контрактов для доставки адресов прокси является «интересным методом», где злоумышленники могут буквально применять бесконечные варианты этой техники; пределом является воображение, отметила компания. Group-IB также указала на недавний отчет группы Google Threat Intelligence, подчеркивающий использование аналогичной техники, называемой «EtherHiding», применяемой северокорейскими хакерами.
EtherHiding — это кампания, раскрытая в прошлом году, в которой хакеры из КНДР использовали блокчейн Ethereum для сокрытия и доставки вредоносного ПО. Жертвы обычно привлекаются через скомпрометированные веб-сайты — часто страницы WordPress — которые загружают небольшой фрагмент JavaScript. Этот код затем извлекает скрытую нагрузку из блокчейна, позволяя злоумышленникам распространять вредоносное ПО таким образом, который крайне устойчив к блокировкам.
Скрытые каналы и методы атаки
Как EtherHiding, так и DeadLock повторно используют публичные, децентрализованные реестры в качестве скрытых каналов, которые трудно блокировать или разрушать защитникам. DeadLock использует ротацию прокси-серверов, которые регулярно меняют IP-адрес пользователя, что затрудняет отслеживание или блокировку.
Хотя Group-IB признала, что «векторы первоначального доступа и другие важные этапы атак на данный момент остаются неизвестными,» она сообщила, что инфекции DeadLock переименовывают зашифрованные файлы с расширением «.dlock» и заменяют фоновое изображение рабочего стола на записки с требованием выкупа. Более новые версии также предупреждают жертв о том, что конфиденциальные данные были украдены и могут быть проданы или утечены, если выкуп не будет выплачен. На данный момент было идентифицировано как минимум три варианта вредоносного ПО. Более ранние версии полагались на якобы скомпрометированные серверы, но исследователи теперь считают, что группа управляет собственной инфраструктурой.
Технологические особенности DeadLock
Однако ключевое новшество заключается в том, как DeadLock извлекает и управляет адресами серверов. «Исследователи Group-IB обнаружили JS-код в HTML-файле, который взаимодействует со смарт-контрактом через сеть Polygon,» — объяснили они. «Этот список RPC содержит доступные конечные точки для взаимодействия с сетью Polygon или блокчейном, действуя как шлюзы, которые соединяют приложения с существующими узлами блокчейна.»
Его последняя наблюдаемая версия также встраивает каналы связи между жертвой и злоумышленником. DeadLock создает HTML-файл, который действует как обертка вокруг зашифрованного мессенджера Session. «Основная цель HTML-файла — облегчить прямую связь между оператором DeadLock и жертвой,» — добавила Group-IB.
